فایرفاکس مرورگری فوق العاده و سریع به شمار میرود که از بسیاری جهات نسبت به دیگر مرورگرها برتریهایی دارد. این مرورگر دارای قابلیتهای بسیاری است که حال در نسخهی ۳۷ علاوه بر ترافیک HTTPS، ترافیکهای غیر HTTPS را نیز رمزنگاری میکند.
توسعه دهندگان مرورگر فایرفاکس، با ارائهی قابلیتی جدید درصدد رمزنگاری کل ترافیک وب برآمدند. در این قابلیت، حتی اگر سرور یک شبکه از HTTPS پشتیبانی نکند باز هم ترافیک آن رمزنگاری خواهد شد. ویژگی جدید فایرفاکس در نسخهی ۳۷، رمزنگاری فرصت طلبانه نام دارد که به عنوان پلی بین ارتباطات HTTP و ارتباطات کاملا HTTPS بر پایه امنیت لایه انتقال یا لایه قبلی یعنی لایه سوکتهای ایمن پروتکل، عمل میکند.
این معیارهای سنتی رمزنگاری بر پایه وب، به اپراتورهای سایت، برای گرفتن یک گواهی دیجیتالی صادرشده توسط یک گواهی کننده شناخته شده توسط مرورگر و برای پیاده سازی حفاظت TLS از طریق OpenSSL یا کتابخانه کدهای مشابه، نیاز دارند. حتی پس از آن هم بسیاری از سایت ها قادر نخواهند بود تا به صورت کامل صفحات خود را رمزنگاری کنند، چرا که تبلیغات و سایر محتواهای سوم شخص را به صورت نهفته در خود دارند، که کدهای رمز نشده خام صفحه را تشکیل می دهند.
OE، مخفف کلمه «رمزنگاری فرصت طلبانه» که برای سادگی مورد استفاده قرار میگیرد، به صورت پیش فرض در فایرفاکس نسخهی ۳۷ فعال است عیب اصلی OE، نبود فرآیند شناسایی هویت برای صفحه گذاری رمزنگاری شده یک سرور متصل است.
در وبلاگ موزیلا توسعه دهندهای به نام پاتریک مکنوس، برخی از جزییات پشتیبانی از HTTP2 در فایرفاکس را تشریح کرده است :
OE رمزنگاری بدون شناسایی هویت را روی TLS، برای دادههایی که توسط نوشتههای خالص منتقل نمیشوند، فراهم میکند. این کار مقداری محرمانگی را در مواجهه با شنود غیرفعال، در پی دارد و همچنین حفاظت بهتری را برای دادههایتان نسبت به TCP خام، وقتی با نویز تصادفی شبکه سر و کار داریم فراهم میکند. تنظیم سرور برای این کار نیازی نیست.
به وضوح این کار مزایایی را برای //:http به همراه دارد اما به خوبیِ //:https نخواهد بود. اگر میتوانید از HTTPS استفاده کنید، درنگ نکنید چرا که فقط HTTPS میتواند از شما در برابر حملات فعال محافظت کند.
اما اگر هنوز محتواهایی دارید که جلوی مهاجرتتان به HTTPS را میگیرد، خصوصا وقتی با محتواهای در هم آمیخته سر و کار دارید، یا با محتواهای شخص ثالث در ارتباط هستید، OE یک ساز و کار برای انتقال رمزنگاری شدهی دادههای http در اختیارتان میگذارد. خود این راهکار یک بهبود واضح نسبت به ارتباط خام به حساب میآید.
دو مرحله ساده برای پیکربندی یک سرور برای OE وجود دارد :
- نصب یک سرور TLS بر پایه h2 یا spdy روی یک پورت جداگانه مانند ۴۳۳. میتوانید از یک گواهی خود امضا شده استفاده کنید، چون OE شناسایی هویت ندارد.
- افزودن یک هدر پاسخ Alt-Svc: h2=":433″ یا spdy/3.1، اگر میخواهید از یک سرور spdy مثل nginx استفاده کنید.
وقتی مرورگر آن هدر پاسخ را دریافت میکند، آغاز به بررسی صحت وجود سرویس HTTP/2 روی پورت ۴۴۳ خواهد کرد؛ و زمانی که یک جلسه با آن پورت ایجاد میشود، مسیریابی درخواستها آغاز میشود و دادههای خام از پورت ۸۰ به پورت ۴۴۳ ، با رمزنگاری، فرستاده میشود. تاخیری در پاسخدهی وجود نخواهد داشت چون اتصال جدید قبل از استفاده، کاملا در پس زمینه برقرار میشود. اگر سرویس جایگزین یعنی پورت ۴۴۳ از دسترس خارج شود، فایرفاکس به صورت خودکار دادههای خام را از پورت ۸۰ دریافت میکند. کلاینتهایی که با پروتکل صحیح صحبت نمیکنند، هدر را نادیده میگیرند و به استفاده از پورت ۸۰ ادامه میدهند.
ممکن است مکنوس درباره سادگی پشتیبانی از OE اغراق کرده باشد. اما در حال حاضر، پیاده سازی HTTP2 ارزش خاصی ندارد، چون سرورهای محبوب وبی مثل آپاچی و nginx هنوز از HTTP2 پشتیبانی نمیکنند. در فوریه، مکنوس گفته بود که ۹ درصد از همه تراکنش ها از کانال HTTP روی HTTP2 رخ میدهد، چرا که کاربران فایرفاکس نسخههای ۳۵ و ۳۶ بتا با استفاده از این پروتکل به سایتهایی مثل گوگل و توییتر متصل میشوند. حالا و با پشتیبانی کاملتر موزیلا در نسخه ۳۷، درصد نفوذ OE بیشتر هم خواهد شد.